电子合同缺失电子签名算有效吗？短信供应链的数据泄露风险探讨及如何合规？如何检测内网穿透，包括建立的ssh隧道等 | 总第166周

admin

101411
文章

87
评论

2022年10月5日15:27:59评论118 views字数 4854阅读16分10秒阅读模式

‍

电子合同缺失电子签名算有效吗？短信供应链的数据泄露风险探讨及如何合规？如何检测内网穿透，包括建立的ssh隧道等 | 总第166周

0x1 本周话题TOP3

话题1：问下大佬们，电子合同是否有效，缺失电子签名算有效吗？最近有个业务场景，和客户线上续签合同，我们做好pdf文本内容，客户在线上渠道进行确认，确认过程中有人脸识别等手段，但是缺少数字签名过程，然后在客户确认后，我们系统将pdf文本进行我方电子签章。这流程我们法务说没问题，但是我觉得客户侧好像没签名，这样算有效？

A1:可以给客户做一个一次性ca签章。签名只是身份验证的其中一个手段，如果法务觉得没有问题，那就行。毕竟法律问题不仅仅考虑技术。

Q:主要是法务上认可这个做法，我觉得比较奇怪，这个衡量是否生效是怎么定夺的？

A2:要不要防客户抵赖，如果不需要，不用他们签名，他们对文本有异议，自然会提出申诉的。如果是双方合同，双方都要签名，电子合同厂商现在有解决方案，事件性证书或场景证书。

A3:双方的啊，续贷这类业务的。

A4:电子合同厂商是谁家的，好像是他们有点坑啊。双方电子合同，客户在线不得手写签名吗？以后客户还不起钱，直接不认账，不是贷的。

A5:还是要看客户是否知道刷脸等同于对合同无异议，对合同有等同于签名的效力，毕竟“电子合同”还是指签名的线上电子化。签名这个是主动的动作，本身含有知悉确认。

A6:线上是指对方登录了APP，经过了本人认证？

A7:在线签署的合同文件上，没有固化双方签名，后续甲方没法举证。刷脸、短信等都是甲方在数据库里设置的一个对应关系，甲方可以随时修改，这个过程没有第三方ca机构的参与，缺乏公信力。

A8:单独的一个手机号码算不算个人敏感信息？

Q:看是tob的还是toc的，toB的人脸验证也啥用，代表啥呢？

A9:tob需要有代理人，都是用usbkey证书，公司提供各类证明，ca颁发证书，在pc端操作，一般不提供手机端的在线手写签名。

A10:客户登录手机银行，对合同文本确认，然后人脸认证啥的，就完了。我理解的也是这样，租房这些app上好像都是这样。

Q:如果这过程没有ca签名，必然不符合要求，好奇你们哪家电子合同厂商呀？

A11:不是厂商，是我们自己设计的流程，法务还认可了。

A12:

合同是双方的法律行为。即需要两个或两个以上的当事人互为意思表示（意思表示就是将能够发生民事法律效果的意思表现于外部的行为）。
双方当事人意思表示须达成协议，即意思表示要一致。
合同系以发生、变更、终止民事法律关系为目的。
合同是当事人在符合法律规范要求条件下而达成的协议，故应为合法行为。

A13:那也得有个ca呀，ca厂商不提供指导？

A14:可能把文本确认、人脸这些动作视为本人知晓确认了。

Q:整个过程真的没有电子签名吗，那他可能不是作为“电子合同”生效？

A15:开发说中间对合同文本过程确认是没有电子签名的，确认完最后一步是我们有电子签章，所以就感觉缺了半边。

A16:你也没第三方存管，你这就是合同电子化。所以你们法务说得没问题，它作为合同生效，没说一定要是电子合同。

Q:合同电子化不需要依托线下合同？没太理解合同电子化的意思。

A17:还有口头合同呢，要看什么类型的合同，这个要看民法典合同篇，既定事实也被认可。

A18:“电子合同”还有个有意思的事，一直想不通合同如何撤销，譬如误签名的场景。

不过应该不归安全管，应该法务。不过需要对合同有所理解，因为个保法中13条处理个人信息第二种情形。比如收单机构收单，收集了用户的卡基信息，而无需取得用户同意，这种归入合同所必须。而收单机构与用户也未签订合同，这种属于“当事人真实的意思表示的有效合同”。

你们开发是优秀的。一般开发，你让我做啥样就做啥样，谁管你奇不奇怪。

A28:个人可以用CA事件证书,如果企业需要向CA机构申请企业证书。

话题2：请教各位大佬一个问题，与短信运营商对接时，手机号都是明文传输给运营商吗？是否存在与个保法相违背的情况？这个问题是这样的，传输加密倒是不是特别的难做，想请教各位大佬的是，如果与短信运营商合作时，在合规方面需要注意做到哪些重点？今天短信供应商和我说，行业内（包括银行）都是明文给他们，我有点惊呆了。

A1:SMPP支持不支持加密，找运营商的人问一下就可以了。

A2:要结合数据安全法里对信息的定义，人名、手机号、身份证号作为可识别为“人”的信息是否在数据里体现…如只有手机号还是很擦边的。

之前关于此事开过安全会议，对通信是否加密，保护手机号不被第三方劫持的要求；对方只能提供“使用ssl”做应对，参数加解密不支持。

A3:我们也接了非常多的短信通道，目前还只关注与供应商的对接安全与供应商的数据存储安全。因为我们经过实际调查发现短信供应商侧是比较容易主动或被动的泄露手机号等信息。至于运营商侧的安全问题也有发现，但是1.没直接证据，2.不是与它们直连3.人家的对接方式固化也不肯能接受整改。

A4:尽量不要找又做短信通道业务，又做大数据分析的公司。他的需求是短信通道业务，找专门的短信通道供应商或者运营商就行了，我说的有些短信通道供应商，自己还在做一些大数据分析的业务，这种就不太好。

A5:短信这个感觉不可避免，我们也是接了多家短信商。默默问下你们短信现在都是多少一条也，感觉短信还是费用很高的一项支出。

A6:不能避免，但加强管理做好泄漏监控，发现异常及时中断数据传输，有效的。

Q:是的，这块怎么监控？有点难。

A7:黑灰产监控：tg、微信公众号，可以先从这两个入手。核心是传输加密吧，供应商的风险的话，最终他们都是可以拿到明文的吗？

A8:你要是调查过这个东西，你就知道加密传输有用，但是用处不大。

A9:他们系统可能被入侵造成持续泄漏，这个通过分析黑产数据可以直接定位到供应商。对他们的风险评估也是在帮助他们做好系统加固。

A10:就算传输加密过去，那边也是明文的嘛？

A11:对，短信泄漏不是由明文传输造成的。

A12:供应商只是提供通道，不应该留存数据吧。

A13:但实际情况是三大运营商提供最终通道，各级短信供应商是中间商。运营商侧不是永久的，目前省级移动是存半年至1年。

A14:一定存数据，而且基本是永久的。比如短信黑名单，也就是不允许营销的客户清单，这是业务正常需求，必须长期保留。而且运营商是肯定有数据的，不然出了问题他们怎么追溯。

A15:总会有功能会处理数据的，我们当时都去一些短信渠道商的现场去看过，包括日志留存格式，他们搞短信通道的那个综合平台，都看过。

A16:超过了这个时间是追不回来的，运营商的存储都是算成本的，短信存储量非常大。

A17:这么说吧，关于短信这条线，哪个阶段泄露都有。用户侧，短信渠道商、短信分包商，运营商都有。

A18:如果只传输手机号，这个信息量应该是可以逐级递减的，一级供应商侧知道这个手机号来源，他再往下传输比如说运营商侧，信息量是减少了。

A19:之前我记得咱们这个三群和二群都讨论过这个话题，也找一些大佬们沟通过。就算甲方自建短信通道直接怼到运营商，还是会发生信息泄露。你说这个锅是短信渠道商的么？也不完全是。有些财大气粗的自建渠道了，但是这种还是少。

A20:基本不会直连运营商的，都是连的短信供应商。而对接的短信供应商又可能是N级代理，所以你的数据会在很多家有留存，这些短信供应商是不会定期清数据的。

A21:公有云厂商的短信通道，算运营商以外的么？

A22:不算吧，那个源头还是从三大运营商走的。

A23:之前我记得好像是说运营商信息泄漏还是啥来着，还没到短信服务商。去年11月的时候因为双十一被点名不要发营销短信，那段时间所有的服务商几乎都停了几天服务。

A24:反正我新办了手机号，一个小时以后，卖房的电话就打过来了。

A25:很多都是批量自动拨打，能通就通，不通就下一个。

话题3：求问各位大佬，如果内网建立的ssh隧道，把端口放出去，从网络层面是不是没什么比较好的检查方法？

A1:抓ssh流量？防火墙流量上有么，流量通信得有个链路吧。边界防火墙是可以看到源目流量信息的。

A2:1流量特征、2资产端口信息对应关系、3扫描指纹。

A3:用上网行为直接拦截ssh协议就行。

Q:流量特征是什么样的？ssh隧道就是用ssh进行端口转发，网络层流量有特征吗？通信的源端口是22？测试了下看到的流量只有内部主机往外发起的ssh连接。这个方法是可以。。。但怎么说呢。

A4:这种场景吗？

A5:反正就远程转发吧，正向反向都算。记得之前小米不是出过事情，就是因为实习生私自用隧道。

A6:出口防火墙把22端口直接deny了。

A7:四层墙不行，得用ngfw。应用识别，端口号没用。内向外的出向ssh全部deny。不给root权限，不给sudo。

Q:我们这边也在抓内网穿透。Ssh转发。这个图的意思。然后pc就可以通过公网ssh运维内网机器了？

A8:我觉得分场景的：

服务器区的话，可以堡垒机上批量运维，直接排查服务器上是否存在frp ngrok zerotier这样的内网穿透进程以及ssh -L 或者ssh -R 本地转发、远程转发的进程。的确有开发人员在测试服务器上这样干过
用户区这个得确认一下。如果他转发到云上服务器的SSH如果非22端口，是否防火墙也能识别到特征。